25.10.2016
Software-Security-Report
Veracode sieht Open Source als Gefahr für Cyber-Security
Autor: Jens Stark
fatmawati achmad zaenuri / Shutterstock.com
Laut dem jüngsten Software-Security-Report von Veracode steigen die Risiken beim Einsatz von Open-Source- und Third-Party-Komponenten bei der Software-Entwicklung rasant.
Die Nutzung von Open-Source-Komponenten bei der Software-Entwicklung ist sehr häufig für Systemrisiken in der digitalen Infrastruktur verantwortlich. Das geht aus dem jährlichen Bericht zum Zustand der Softwaresicherheit, State of Software Security (SoSS), hervor, den Veracode zum siebten Mal zusammengestellt hat. Der Report basiert auf Daten, die innerhalb der vergangenen 18 Monate im Rahmen von mehr als 300.000 automatisierten Assessments untersucht wurden. Insgesamt zeigt sich, dass der zunehmende Fokus auf digitale Risiken auf der Anwendungsebene und die Integration von Sicherheitsaspekten in DevOps-Prozesse (DevSecOps) zur Senkung des Risikos beitragen können, ohne die Software-Entwicklung zu verlangsamen.
97 Prozent der Java-Anwendungen enthalten unsicherer Komponenten
Die Analyse von Veracode ergab aber auch, dass anfällige Open-Source-Komponenten für steigende Risiken verantwortlich sind. So wirkte sich eine einzige populäre Komponente mit einer kritischen Sicherheitslücke auf mehr als 80.000 andere Software-Komponenten aus, die dann wiederum in der Entwicklung von Millionen Software-Programmen zum Einsatz kamen. Knapp 97 Prozent aller Java-Anwendungen enthielten demzufolge mindestens eine Komponente mit einer bekannten Sicherheitslücke.
"Die weit verbreitete Nutzung von Open-Source-Komponenten in der Software-Entwicklung ist verantwortlich für unkontrollierbare systemische Risiken in Unternehmen und Branchen", erläutert Julian Totzek-Hallhuber, Solutions Architect bei Veracode. "Heute kann sich ein Cyberkrimineller auf eine einzige Schwachstelle in einer Komponente konzentrieren, um Millionen von Anwendungen zu schädigen. Alle Branchen sind in hohem Maß von diesen Anwendungen abhängig. Diese Leichtigkeit, mit der Millionen von Anwendungen verletzt werden können, kann daher unsere digitale Infrastruktur und Wirtschaft nachhaltig schädigen."
60 Prozent der Anwendungen verfehlen Sicherheitsrichtlinien
Der Bericht von Veracode hebt weitere Herausforderungen in der Software-Entwicklung hervor. Zum Beispiel konnten 60 Prozent der Anwendungen beim ersten Scan grundlegende Sicherheitsanforderungen nicht erfüllen. Allerdings stellt der Bericht fest, dass Unternehmen, die Best Practices einsetzen und Programme mit konsequenten Strategien und Praktiken für eine sichere Entwicklung implementieren, Schwachstellen effektiver beseitigen können.
Die Studie zeigt auch, dass das obere Quartil der Unternehmen fast 70 Prozent mehr Schwachstellen behebt als das durchschnittliche Unternehmen. Darüber hinaus können Best Practices wie Remediation Coaching und eLearning die Fix Rates um das bis zu Sechsfache verbessern. Und Entwickler, die ihre Anwendungen in einer Developer Sandbox getestet haben, verbessern die richtlinienbasierten Fix Rates um etwa das Zweifache.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>